midzi Opublikowano 11 Grudnia 2012 Zgłoś Udostępnij Opublikowano 11 Grudnia 2012 Witam, Mnie także dopadło to świństwo, dysk pracował jak szalony, większość plików zdążył uszkodzić (.block), wyłaczyłem system na chama i uruchomiłem w trybie awaryjnym, niestety straty są dość duże, z tego co czytałem na razie nie ma lekarstwa na odkodowanie tych plików. Część podejrzanych wpisów i plików (w rejestrze i na dyku) usunąłem. Proszę o sprawdznie czy system jest jeszcze zainfekowany. Chciałbym ewentualnie usunąć wszytkie pliki z rozszerzeniem .block (lub ewentualnie skopiować na dysk zewnętrzy i poczekać na jakieś lekarstwo - jeśli takowe by się pojawiło), a resztę pozostawić i nie przeinstalowywać systemu, bo jest tego za dużo. Tylko czy te cholerstwo nie powróci powtórnie? W załaczniku pliki ze skanu. Z góry dziękuję za wszelką pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
kostykiewicz Opublikowano 12 Grudnia 2012 Zgłoś Udostępnij Opublikowano 12 Grudnia 2012 Tak się zapytam. W jaki sposob zainfekowales te dane? wchodziles na konkretna strone? z jakiego antywirusa korzsytasz. Widze ze sprawa jest dosc powazna i duzo osob ma z tym problem ostatnio. Odnośnik do komentarza
midzi Opublikowano 12 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2012 (edytowane) Czy może ktoś analizował może moje raporty, czy nadal mój system jest zainfekowany, czy tylko już pozostały śmieci po infekcji w postaci plików typu .block. Dzięki za informację. Edytowane 12 Grudnia 2012 przez picasso Proszę czekać cierpliwie na swoją kolej. Ja nie jestem w stanie szybciej przetwarzać tematów. //picasso Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2012 Zgłoś Udostępnij Opublikowano 12 Grudnia 2012 Infekcji czynnej nie ma, ale nadal na dysku jej pliki: [2012-12-11 17:46:19 | 000,218,367 | ---- | C] () -- C:\Users\Mariusz\AppData\Roaming\bg.jpg[2012-12-11 17:45:13 | 000,280,064 | ---- | C] () -- C:\Users\Mariusz\AppData\Roaming\PnwxY.exe[2012-12-11 17:45:07 | 000,280,064 | ---- | C] () -- C:\Users\Mariusz\wgsdgsdgdsgsd.exe I log z OTL nie jest wiarygodny, by ocenić liczbę plików *.block na dysku systemowym poza oczywistymi folderami Desktop + Dokumenty. Zaszyfrowane mogły zostać też pliki systemu operacyjnego i programów, jeśli miały rozszerzenie wchodzące w zakres zainteresowań infekcji. Z plikami *.block nic się nie da zrobić. Natomiast jeśli mamy doczyszczać po infekcji to co jest tu widoczne + inne korekty, to: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Mariusz\wgsdgsdgdsgsd.exe C:\Users\Mariusz\AppData\Roaming\bg.jpg C:\Users\Mariusz\AppData\Roaming\PnwxY.exe C:\Users\Mariusz\AppData\Local\qtX89WrIIvomp6 @C:\ProgramData\Microsoft:6lIFX6YA6K6IWo2LdpdKc @C:\ProgramData\Microsoft:aHNU6799vIMFMjW24LQUtsBz5FruJ :OTL IE - HKCU\..\URLSearchHook: {32b29df0-2237-4370-9a29-37cebb730e9b} - No CLSID value found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32B29DF0-2237-4370-9A29-37CEBB730E9B} - No CLSID value found. :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Wyczyść Firefox z adware Ask i starych naleciałości: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Przez Panel sterowania odinstaluj zbędny Akamai NetSession Interface. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
midzi Opublikowano 12 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2012 W trakcie wykonywania skryptu i usuwania plików : PnwxY.exe i wgsdgsdgdsgsd.exe AVAST wykrył je jako WIN32: Rootkit-gen [Rtk]. Wykonałem także wszystkie czynnosci o których pisałaś. Czy pliki typu block należy usunąć (czy stanowią sane w sobie jakieś zagrożenie), czy mozna liczyć, że kiedyść będzie do nich jakieś lekarstwo? W załaczniu log z OTL. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2012 Zgłoś Udostępnij Opublikowano 12 Grudnia 2012 Czy pliki typu block należy usunąć (czy stanowią sane w sobie jakieś zagrożenie), czy mozna liczyć, że kiedyść będzie do nich jakieś lekarstwo? Nie sądzę, by stanowiły zagrożenie, to pliki użytkownika zaszyfrowane i niedostępne (nie można ich otworzyć). A na to drugie bym nie liczyła. Jeśli tak trudno Ci się pogodzić z tym, zgraj te *.block na jakiś nośnik zapasowy i odłóż do kąta, a pliki w lokalizacjach oryginalnych skasuj. Zadania pomyślnie wykonane, w ramach wykończeń: 1. Usunięcie pustego wpisu startowego po Akamai. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [Akamai NetSession Interface] "C:\Users\Mariusz\AppData\Local\Akamai\netsession_win.exe" File not found Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu masz zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java 6 Update 29"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"Mozilla Firefox 15.0 (x86 pl)" = Mozilla Firefox 15.0 (x86 pl)"Mozilla Thunderbird 16.0.2 (x86 pl)" = Mozilla Thunderbird 16.0.2 (x86 pl) ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Google Chrome" = Google Chrome 22.0.1229.94"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll ()CHR - plugin: Silverlight Plug-In (Enabled) = C:\Program Files (x86)\Microsoft Silverlight\4.1.10111.0\npctrl.dll Czyli: do deinstalacji stara Java / Adobe / Silverlight i zastąpienie najnowszymi wersjami (o ile potrzebne), aktualizacja Firefox / Google Chrome / Thunderbird. . Odnośnik do komentarza
midzi Opublikowano 12 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2012 Picasso dzięki za poświęcony czas. Jak na przyszłość można zabezpieczyć się przed tym świństwem? Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 - Aktualizacje oprogramowania. Już podane. - Piaskownice / wirtualne środowiska np. SandBoxie (po 30 dniach dalej można korzystać za free, tylko dręczy nag screen o zakupach), GeSWall Freeware (darmowe). Obie aplikacje kompatybilne z x64. - Szyfrowanie plików było, czyli regularne kopie zapasowe cennych plików na izolowany nośnik zewnętrzny. . Odnośnik do komentarza
kostykiewicz Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Dzięki Picasso za polecenie programu Sandboxie, przyznam że nie znałem tego programu a jest bardzo ciekawy. Dla osob które chcą się czegoś wiećej dowiedzieć, zapraszam do poradnika na YT Poniżej Odnośnik do komentarza
Rekomendowane odpowiedzi